【正文】 面獲得了本質(zhì)的性能提升，如下表所示：關(guān)鍵點(diǎn)采用的先進(jìn)技術(shù)達(dá)到的技術(shù)效果用戶價(jià)值和作用日志采集異步通訊、高速緩存、日志范式化流水線技術(shù)能夠?qū)Ａ慨悩?gòu)日志進(jìn)行持續(xù)不斷地高速采集能夠采集網(wǎng)絡(luò)中大規(guī)模審計(jì)對象的日志日志存儲高速日志存儲、分布式數(shù)據(jù)存儲技術(shù)TB級日志存儲存儲長時(shí)間的日志信息，滿足合規(guī)的要求日志分析實(shí)時(shí)分析內(nèi)存實(shí)時(shí)計(jì)算、復(fù)雜事件處理（Complex Event Process，簡稱CEP）技術(shù)實(shí)時(shí)地對日志進(jìn)行監(jiān)視和關(guān)聯(lián)分析及時(shí)發(fā)現(xiàn)安全異常，快速關(guān)聯(lián)出安全隱患查詢分析全文檢索、分布式查詢技術(shù)能夠快速的從TB級的日志信息中返回查詢結(jié)果快速從海量日志中進(jìn)行定點(diǎn)查詢統(tǒng)計(jì)分析數(shù)據(jù)抽取、數(shù)據(jù)摘要等技術(shù)能夠?qū)崿F(xiàn)對TB級日志的快速報(bào)表生成快速生成各類安全日報(bào)、周報(bào)、月報(bào)等 詳盡的日志范式化與日志分類LEADSECRS對收集的各種日志進(jìn)行范式化處理，將各種不同表達(dá)方式的日志轉(zhuǎn)換成統(tǒng)一的描述形式。用戶可以自定義儀表板，按需設(shè)計(jì)儀表板顯示的內(nèi)容和布局，可以為不同角色的用戶建立不同維度的儀表板。系統(tǒng)可以為用戶展示一幅審計(jì)數(shù)據(jù)源的拓?fù)鋱D，反映審計(jì)數(shù)據(jù)源的網(wǎng)絡(luò)拓?fù)潢P(guān)系，并且在拓?fù)涔?jié)點(diǎn)上標(biāo)注出每個審計(jì)數(shù)據(jù)源的日志量和告警事件量。審計(jì)數(shù)據(jù)源影響性分析– 以遠(yuǎn)程日志采集為主，基本不必安裝在審計(jì)數(shù)據(jù)源上日志代理– 主要采取被動采集技術(shù)，不會對審計(jì)數(shù)據(jù)源發(fā)起主動連接，不影響審計(jì)數(shù)據(jù)源的現(xiàn)有安全機(jī)制網(wǎng)絡(luò)影響性分析– 系統(tǒng)部署無需修改網(wǎng)絡(luò)拓?fù)洙C 支持多端口日志采集和分布式日志采集器部署，可以就近分別采集多個網(wǎng)段的日志，減少日志流量的匯聚– 日志采集器在上傳日志的時(shí)候支持?jǐn)?shù)據(jù)壓縮，降低網(wǎng)絡(luò)帶寬占用；支持定時(shí)上傳，可以避開網(wǎng)絡(luò)流量繁忙期 友好的用戶交互體驗(yàn)，具備友好的用戶交互體驗(yàn)。通過首頁，能夠快速的導(dǎo)航到各個功能。 日志采集系統(tǒng)能夠采集各種不同廠商的安全設(shè)備、網(wǎng)絡(luò)設(shè)備、主機(jī)、操作系統(tǒng)、以及各種應(yīng)用系統(tǒng)產(chǎn)生的日志，通過Syslog、SNMP Trap、FTP、OPSEC LEA、NETBIOS、ODBC、WMI、Shell腳本、VIP、Web Service等協(xié)議進(jìn)行采集。通過過濾操作，可以剔除掉無用的日志信息，降低日志噪音。用戶可以對日志采集器進(jìn)行登記、注銷，進(jìn)行日志采集參數(shù)的配置，設(shè)定范式化、過濾、歸并、轉(zhuǎn)發(fā)的參數(shù)。對于實(shí)時(shí)監(jiān)視中的日志，用戶可以進(jìn)行追蹤調(diào)查，進(jìn)行源目標(biāo)IP地址世界地圖定位，并可以以圖形化的方式展示日志之間的行為關(guān)系。系統(tǒng)提供了可視化的規(guī)則編輯器，用戶可以定義基于邏輯表達(dá)式的關(guān)聯(lián)規(guī)則，所有日志字段都可參與關(guān)聯(lián)。 參考知識管理系統(tǒng)內(nèi)置日志字典表，記錄了主流設(shè)備和系統(tǒng)的日志ID的原始含義和描述信息，方便審計(jì)人員在進(jìn)行日志審計(jì)的時(shí)候進(jìn)行參考。 日常安全運(yùn)維工作的有力工具對于日常安全運(yùn)維而言，核心的工作內(nèi)容就是對IT網(wǎng)絡(luò)進(jìn)行持續(xù)監(jiān)測，確保網(wǎng)絡(luò)、主機(jī)、應(yīng)用、重要信息和人員資產(chǎn)的安全。 應(yīng)用安全 　 安全審計(jì)（G3） a) 應(yīng)提供覆蓋到每個用戶的安全審計(jì)功能，對應(yīng)用系統(tǒng)重要安全事件進(jìn)行審計(jì)； c) 審計(jì)記錄的內(nèi)容至少應(yīng)包括事件的日期、時(shí)間、發(fā)起者信息、類型、描述和結(jié)果等； d) 應(yīng)提供對審計(jì)記錄數(shù)據(jù)進(jìn)行統(tǒng)計(jì)、查詢、分析及生成審計(jì)報(bào)表的功能。企業(yè)應(yīng)當(dāng)在信息系統(tǒng)中設(shè)置操作日志功能，確保操作的可審計(jì)性 《商業(yè)銀行內(nèi)部控制指引》 第一百二十六條 商業(yè)銀行的網(wǎng)絡(luò)設(shè)備、操作系統(tǒng)、數(shù)據(jù)庫系統(tǒng)、應(yīng)用程序等均當(dāng)設(shè)置必要的日志。 第四十四條 對主機(jī)系統(tǒng)進(jìn)行審計(jì)，妥善管理并及時(shí)分析處理審計(jì)記錄。 針對中大型網(wǎng)絡(luò)中IT資產(chǎn)多、日志量大的特點(diǎn)，LEADSECRS支持級聯(lián)和分布式部署的方式，配合系統(tǒng)高性能的日志采集技術(shù)，能夠?qū)崿F(xiàn)日志的集中化存儲與審計(jì)，降低客戶滿足合規(guī)性要求的總體成本。 《銀行業(yè)信息科技風(fēng)險(xiǎn)管理指引》 第二十五條 對于所有計(jì)算機(jī)操作系統(tǒng)和系統(tǒng)軟件的安全，在系統(tǒng)日志中記錄不成功的登錄、重要系統(tǒng)文件的訪問、對用戶賬戶的修改等有關(guān)重要事項(xiàng)，手動或自動監(jiān)控系統(tǒng)出現(xiàn)的任何異常事件，定期匯報(bào)監(jiān)控情況。對于采集的所有日志記錄信息，都記錄了日期、時(shí)間、類型、主體標(biāo)識、客體標(biāo)識和結(jié)果等信息，同時(shí)原封不動地保存了原始日志信息。借助LEADSECRS，客戶能夠統(tǒng)一收集來自網(wǎng)絡(luò)中IT資產(chǎn)的日志信息，通過分析日志中的安全事件，識別各類性能故障、非法訪問控制、不當(dāng)操作、惡意代碼、攻擊入侵，以及違規(guī)與信息泄露等行為，協(xié)助客戶安全運(yùn)維人員進(jìn)行安全監(jiān)視、審計(jì)追蹤、調(diào)查取證、應(yīng)急處置、生成各類報(bào)表報(bào)告，成為客戶日常安全運(yùn)維的有力工具。系統(tǒng)提供用戶集中管理的功能，對用戶可以訪問的資源進(jìn)行細(xì)致的權(quán)限劃分，具備安全可靠的分級及分類用戶管理功能，支持用戶的身份認(rèn)證、授權(quán)、用戶口令修改等功能。告警動作支持事件屬性重定義、彈出提示框、發(fā)送郵件、發(fā)送SNMP Trap、發(fā)送短信、執(zhí)行命令腳本、設(shè)備聯(lián)動、發(fā)送飛鴿傳書、發(fā)送MSN、發(fā)送Syslog等方式。審計(jì)員可以查看一段時(shí)間內(nèi)的主機(jī)流量排行、主機(jī)登錄失敗次數(shù)排行、活躍病毒排行、網(wǎng)絡(luò)設(shè)備故障排行、最多訪問用戶排行，等等。用戶可以在被審計(jì)設(shè)備/系統(tǒng)上安裝日志代理，采集到日志后，發(fā)送給日志審計(jì)系統(tǒng)。日志過濾和合并策略可以用戶自定義，系統(tǒng)默認(rèn)不進(jìn)行過濾和合并。系統(tǒng)也支持通過日志采集器和日志代理的方式采集日志，完全取決于用戶的實(shí)際需要。用戶可以自定義儀表板，按需設(shè)計(jì)儀表板顯示的內(nèi)容和布局，可以為不同角色的用戶建立不同維度的儀表板。 完善的系統(tǒng)自身安全性保證LEADSECRS具備完善的自身安全性設(shè)計(jì)，保證系統(tǒng)自身的安全等級符合用戶的整體安全策略。針對安全日志，用戶可以對其源目的IP地址進(jìn)行追蹤，并在世界地圖上標(biāo)注出來。審計(jì)員可以實(shí)時(shí)監(jiān)視防火墻、IDS、防病毒、網(wǎng)絡(luò)設(shè)備、主機(jī)和應(yīng)用的高危安全事件；可以實(shí)時(shí)監(jiān)視各個部門、各個安全域、各個業(yè)務(wù)系統(tǒng)的重點(diǎn)安全事件；可以實(shí)時(shí)監(jiān)視全網(wǎng)的違規(guī)登錄事件、配置變更事件、針對關(guān)鍵服務(wù)器的入侵攻擊事件；等等。系統(tǒng)提供的范式化字段包括日志接收時(shí)間 、日志產(chǎn)生時(shí)間、日志持續(xù)時(shí)間、用戶名稱、源地址、源MAC地址、源端口、操作、目的地址 、目的MAC地址、目的端口、日志的事件名稱、摘要、等級、原始等級、原始類型、網(wǎng)絡(luò)協(xié)議、網(wǎng)絡(luò)應(yīng)用協(xié)議、設(shè)備地址、設(shè)備名稱、設(shè)備類型等，數(shù)量超過50個，使范式化后的日志詳盡而易讀，更能滿足復(fù)雜的多維度統(tǒng)計(jì)分析和審計(jì)要求。綜合存儲空間是指日志范式化后占用的存儲空間字節(jié)數(shù)，原始日志占用存儲空間字節(jié)數(shù)，為日志建立索引所需的存儲空間字節(jié)數(shù)，以及日志統(tǒng)計(jì)表存儲空間字節(jié)數(shù)的總和。 支持審計(jì)數(shù)據(jù)源目前，LEADSECRS支持的部分廠商設(shè)備類型如下表所示：設(shè)備類型廠商或產(chǎn)品交換機(jī)Cisco、Extreme、Juniper、博科、華為、H3C、神州數(shù)碼、銳捷 路由器Cisco、Extreme、Juniper、華為、H3C、神州數(shù)碼、銳捷 防火墻 /UTM/USG 網(wǎng)御星云、Cisco、Juniper Netscreen、飛塔、Checkpoint、Nokia、Bluecoat、